none
Network Policy Server (NPS) accounting forward RRS feed

  • Вопрос

  • Есть WiFi контроллер HP MSM с настроенной RADIUS авторизацией на NPS сервере.
    Есть ForiGate, на который нужно направлять RADIUS запросы с NPS сервера с дополнительным атрибутом Filter-ID = unrestricted.
    FortiGate interface - "10.50.0.25"
    Windows Server NPS - "10.0.9.33"
    HP MSM760 WiFi controller - "10.0.1.250"

    На NPS настроено направлять запросы учетных данных на внешнюю группу RADIUS серверов.

    Но в итоге, на ForiGate я получаю запросы без Filter-ID = unrestricted, где я ошибаюсь?

    то что приходит на FortiGate (pcap)






    • Изменено tyua 13 сентября 2016 г. 9:50
    13 сентября 2016 г. 8:32

Ответы

  • Атрибут, который вы настроили в сетевой политике, посылается клиенту RADIUS (контроллеру WiFi) при аутентификации, а не Fortigate при пересылке учётной информации (RADIUS accounting).

    Способ добавлять атрибут RADIUS на NPS в пересылаемые на сервер учёта данные мне неизвестен, возможно, что его не существует (по крайней мере, без написания модуля расширения сервера RADIUS)


    Слава России!

    14 сентября 2016 г. 10:20
  • Но вот здесь нписано что так должно работать, 

    да и на форуме фортинет заверили что это рабочий вариант. 

    И где вы там увидели атрибут Filter-ID?

    Вы вообще разобрались, как это работает?

    В приведённом вами примере в Fortigate создаётся группа, определяемая фактически по атрибуту RADIUS Class со значением "tac". Затем с помощью сетевой политики в RADIUS-сервере на Windows Server указывается, что  этот атрибут (Class) и с этим значением("tac")  посылается дополнительно клиенту RADIUS - точке доступа FortiAP - чтобы клиент включил затем этот атрибут с этим значением в сообщение учётной информации. Та же самая сетевая политика указывает RADIUS-серверу на Windows Server пересылать учётную информацию на Fortigate, таким образом Fortigate узнаёт, что этот новый клиент WiFi относится к нужной группе.

    Работоспособность этой схемы, во-первых, зависит от поведения клиента RADIUS (точки доступа) - будет ли он включать полученный дополнительный атрибут в сообщение с учётными данными. А, во-вторых, почему вы указываете в качестве такого атрибута Filter-ID,  а не Class, как в примере?


    Слава России!

    14 сентября 2016 г. 17:57

Все ответы

  • Привет,

    Думаю Вам лучше обратиться на форум Fortigate:

    https://forum.fortinet.com/

    Также, посмотрите тему:

    https://forum.fortinet.com/tm.aspx?m=140202


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    14 сентября 2016 г. 6:59
    Модератор
  • Привет,

    Думаю Вам лучше обратиться на форум Fortigate:

    https://forum.fortinet.com/

    Также, посмотрите тему:

    https://forum.fortinet.com/tm.aspx?m=140202


    Это моя тема на форуме fortinet, в которой посоветовали разбираться с NPS.
    14 сентября 2016 г. 8:06
  • Атрибут, который вы настроили в сетевой политике, посылается клиенту RADIUS (контроллеру WiFi) при аутентификации, а не Fortigate при пересылке учётной информации (RADIUS accounting).

    Способ добавлять атрибут RADIUS на NPS в пересылаемые на сервер учёта данные мне неизвестен, возможно, что его не существует (по крайней мере, без написания модуля расширения сервера RADIUS)


    Слава России!

    14 сентября 2016 г. 10:20
  • Но вот здесь нписано что так должно работать, 

    да и на форуме фортинет заверили что это рабочий вариант. 

    14 сентября 2016 г. 10:23
  • Но вот здесь нписано что так должно работать, 

    да и на форуме фортинет заверили что это рабочий вариант. 

    И где вы там увидели атрибут Filter-ID?

    Вы вообще разобрались, как это работает?

    В приведённом вами примере в Fortigate создаётся группа, определяемая фактически по атрибуту RADIUS Class со значением "tac". Затем с помощью сетевой политики в RADIUS-сервере на Windows Server указывается, что  этот атрибут (Class) и с этим значением("tac")  посылается дополнительно клиенту RADIUS - точке доступа FortiAP - чтобы клиент включил затем этот атрибут с этим значением в сообщение учётной информации. Та же самая сетевая политика указывает RADIUS-серверу на Windows Server пересылать учётную информацию на Fortigate, таким образом Fortigate узнаёт, что этот новый клиент WiFi относится к нужной группе.

    Работоспособность этой схемы, во-первых, зависит от поведения клиента RADIUS (точки доступа) - будет ли он включать полученный дополнительный атрибут в сообщение с учётными данными. А, во-вторых, почему вы указываете в качестве такого атрибута Filter-ID,  а не Class, как в примере?


    Слава России!

    14 сентября 2016 г. 17:57
  • Вы вообще разобрались, как это работает?

    В приведённом вами примере в Fortigate создаётся группа, определяемая фактически по атрибуту RADIUS Class со значением "tac". Затем с помощью сетевой политики в RADIUS-сервере на Windows Server указывается, что  этот атрибут (Class) и с этим значением("tac")  посылается дополнительно клиенту RADIUS - точке доступа FortiAP - чтобы клиент включил затем этот атрибут с этим значением в сообщение учётной информации. Та же самая сетевая политика указывает RADIUS-серверу на Windows Server пересылать учётную информацию на Fortigate, таким образом Fortigate узнаёт, что этот новый клиент WiFi относится к нужной группе.

    Работоспособность этой схемы, во-первых, зависит от поведения клиента RADIUS (точки доступа) - будет ли он включать полученный дополнительный атрибут в сообщение с учётными данными. А, во-вторых, почему вы указываете в качестве такого атрибута Filter-ID,  а не Class, как в примере?

    Может и не до конца розобрался.

    Первоначально я добавлял атрибут Class = "tac", но в учетной информации этот "tac" так и не появлялся, кроме того в учетной информации уже содержался атрибут Class со значением что-то похожее на «70:0d:07:9a:00:00:01:37:00:01:02:00:0a:00:09:21:00:00:00:00:61:0b:6c:5f:0e:7b:db:a9:01:d2:03:5e:46:1e:de:10:00:00:00:00:00:01:dc:83», поэтому попробовал заменить на Filter-ID (увидел  это где-то в другой инструкции).

    Но я был уверен, что NPS должен добавлять это в учетную информацию.

    И сейчас не понимаю, почему клиент должен добавить эти атрибуты в учетную информацию. 
    От чего это зависит добавить точка доступа эти атрибуты или нет, где искать какие атрибуты поддерживаются?


    15 сентября 2016 г. 6:33
  • Разбирайтесь, почему точка доступа посылает какой-то свой атрибут Class, а не следует рекомедациям из RFC 2865:


    5.25.  Class



       Description

          This Attribute is available to be sent by the server to the client
          in an Access-Accept and SHOULD be sent unmodified by the client to
          the accounting server as part of the Accounting-Request packet if
          accounting is supported.  The client MUST NOT interpret the
          attribute locally.

    А вот про атрибут Filter-ID в RFC ничего такого не сказано. Возможно, для каких-то точек доступа этот атрибут пересылается в учётной информации неизменным, а для вот других - не пересылается.


    Слава России!

    15 сентября 2016 г. 10:42
  • И все же, какой-то свой атрибут Class добавляет не точка доступа, а NPS, а точка доступа добавляет к accounting информации только первый атрибут Class, а тот что добавляется политикой, отбрасывает.

    http://www.nicklowe.org/2013/08/nps-class-attribute-bug/

    В общем проблему решить пока что так и не удалось.

    7 ноября 2016 г. 10:46
  • И все же, какой-то свой атрибут Class добавляет не точка доступа, а NPS, а точка доступа добавляет к accounting информации только первый атрибут Class, а тот что добавляется политикой, отбрасывает.

    http://www.nicklowe.org/2013/08/nps-class-attribute-bug/

    В общем проблему решить пока что так и не удалось.

    Чтение статьи по ссылке и связанной с этим документации навело на мысль попробовать задать атрибут Generate-Class-Attribute (в заголовочных файлах для DLL-расширений NPS ему соответствует константа IAS_ATTRIBUTE_GENERATE_CLASS_ATTRIBUTE) со значением False (он находится в списке Vendor Specific для Vendor:Custom): согласно документации он как раз управляет автоматическим добавлением атрибута Class.


    Слава России!


    • Изменено M.V.V. _ 7 ноября 2016 г. 13:45
    7 ноября 2016 г. 13:43